Trabajo aplicativo

(CIA)
Seguridad de la Información

Profesor: Cristian Matamala Gómez

Fecha: 21 de octubre del 2020

Participante:

Felipe Carrasco Zenteno

Felipe.carrasco.01@alu.ucm.cl
 2

RESUMEN

En este trabajo se analizará los factores críticos de los SGSI como lo son la confidencialidad,
integridad y disponibilidad de los servicios e información de los sistemas informáticos,
aplicando dicho análisis a una empresa vigente en el mercado lo cual entregará información
clave para saber si su sistema informático cumple con el tridente de la seguridad informática lo
cual permitirá identificar el nivel de seguridad de los sistemas de información de la empresa
ante posibles amenazas.

Palabras Clave: Ciclo de Deming, Datacenter, SGSI.

MARCO TEORICO.

Los sistemas de gestión de la seguridad de la información SGSI corresponden a un conjunto de

normas y políticas de administración de la información, estos sistemas no se deben considerar
como un producto si no mas bien como un proceso en donde para llevar a cabo altos niveles de
seguridad en los sistemas informáticos de una organización se debe cumplir una serie de
etapas, como lo propone el Ciclo de Deming, comenzando por la planificación que
corresponde a un fase de diseño del SGSI, en donde se contemplan los distintos riesgos o
amenazas a la seguridad de la información y se seleccionan controles para monitorear estas
amenazas. Luego de la etapa de planeación viene una etapa de hacer (do), es decir, poner en
marcha los controles de seguridad lo que contempla la implementación y operación de los
controles. Posterior a esto se pasa a etapa de check en donde se tiene como objetivo revisar y
evaluar el desempeño del SGSI. Por ultimo se tiene la etapa de actuar en donde se realizan
cambios cuando sean necesarios para llevar de vuelta al SGSI a su máximo rendimiento
[CITATION iso20 \l 13322 ].

La correcta gestión de la seguridad de la información busca establecer y mantener controles y

políticas que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad
de la información, si alguna de estas características falla, el sistema no se considerará seguro.

A continuación, se detallará en mayor profundidad los conceptos anteriormente mencionados

Confidencialidad:

 ¿Qué es? Es la propiedad que impide la divulgación de la información a

individuos o entidades no autorizadas.
 ¿Para qué sirve? Asegura el acceso a la información únicamente aquellas
personas que cuenten con la debida autorización. Esto permite que el sistema
refleje mayor seguridad hacia los usuarios debido al resguardo de datos
sensibles. Por ejemplo, en el datacenter de movistar tienen una serie de medidas
para conservar la confidencialidad da la información almacenada en la
instalación, comenzando con una cita previa para el ingreso, un control de
identidad, por otro lado, el visitante en todo momento va acompañado de un
encargado de la seguridad de la información.
 Ventajas: Aumenta la confianza por parte de los usuarios, otorga un nivel
mayor de seguridad al SGSI dado que para acceder a la información se
 3

necesitará credenciales apropiadas, esto evita la difusión maliciosa de datos

sensibles de una organización.
 Desventajas: Al no contar con controles de confidencialidad pueden ocurrir un
sin número de problemas, difusión de información sensible, modificación de
información del sistema, dado que cualquier persona podría acceder a los
sistemas. Estos problemas se encuentran generalmente en sistemas de
información de pequeñas empresas donde no se define un control de acceso por
roles de usuarios y todos los integrantes de la empresa pueden realizar cambios
al sistema, desde el gerente hasta el vendedor. Existen otros casos en donde se
pierde el concepto de confidencialidad producto de ciberataques,
específicamente en aquellos casos donde se produce la difusión de datos de
usuarios como fue el caso del problema ocurrido con las claves únicas en
octubre de 2020 en donde si bien lograron obtener estos datos, no se reveló
información sensible producto que estas claves estaban encriptadas lo cual
permitió resguardar la confidencialidad de los datos de los usuarios [ CITATION
Luc20 \l 13322 ].

Integridad:

 ¿Qué es? Es la propiedad que permite que los datos resguarden su existencia y
libre de modificaciones no autorizadas.
 ¿Para qué sirve? Sirve para mantener con exactitud la información tal cual fue
generada, sin ser manipulada o modificada por personas o procesos no
autorizados. A grandes rasgos busca salvaguardar la precisión y completitud de
los datos. Un caso de integridad de información vulnerada se presenta, por
ejemplo, si en un examen un estudiante obtuvo nota 7 y su profesor es
consciente de esto al haber corregido el examen, pero al momento de ser
ingresada la evaluación al portal web de los estudiantes figura una nota 4. En
este caso no se cumplió con mantener la integridad de los datos producto que
algún empleado, programa o proceso, por accidente o de manera
malintencionada, modificó parte de la información.
 Ventajas: Garantiza que los datos permanezcan inalterados exceptuando
modificaciones por personal autorizadas, de esta manera se asegura la precisión
y confiabilidad de la información.
 Desventajas: Al fallar la integridad en un SGSI, se producen vulneraciones a la
información que maneja la empresa la cual puede ser modificable o borrada por
cualquier persona o proceso, lo cual significa que la empresa presentará un bajo
nivel de confianza para con sus usuarios. El caso mas drástico se da en los
bancos en donde es sumamente importante el tema de la integridad de la
información puesto que los fondos de los clientes deben permanecer intactos sin
modificaciones a menos que el mismo cliente lo precise.
 4

Disponibilidad:

 ¿Qué es? A grandes rasgos, la disponibilidad es el acceso a la información y a

los sistemas informáticos por personas autorizadas en el momento que así lo
quieran.
 ¿Para qué sirve? El factor disponibilidad permite concentrar la vigilancia en
los sistemas de información sobre el acceso a los datos, evitando interrupciones
de servicios debido a efectos naturales, problemas de hardware o el factor
humano, todo esto con el fin de tener los servicios disponibles en todo
momento.
 Ventajas: Garantiza la disponibilidad implica también prevenir ataques de
negación de servicios además de proactivamente reducir riesgos ante posibles
amenazas. Creación de respaldo de información para sobrellevar cualquier
evento.
 Desventajas: El tener fallas en la disponibilidad de la información de un
sistema, provoca el no poder acceder a los datos por parte de los usuarios, lo
cual genera incertidumbre sobre la integridad de la información contenida en el
sistema y por supuesto la imposibilidad de llevar a cabo operaciones en el
mismo. Un claro ejemplo de falla en la disponibilidad es el caso registrado en
septiembre del 2020 con el banco estado en donde, debido a un sabotaje
informático producto de un ransomware [ CITATION Mar201 \l 13322 ], todos los
clientes además de 12 mil estaciones de trabajo quedaron sin acceso a los
sistemas durante un día completo. Si bien no hubo perdida de dinero si produjo
una baja en la credibilidad del banco [ CITATION Mar20 \l 13322 ].

EMPRESA SELECCIONADA PARA ANALISIS

a) Nombre de la Empresa: Claro Chile S.A.

b) Ubicación: Santiago, Chile
c) Rubro: Servicios
d) Servicio que entrega: Servicio de telefonía móvil
e) Cantidad estimada de funcionarios: 5000 empleados aproximadamente

CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACION EN

CLARO CHILE S.A.

Para mantener la integridad y confidencialidad de los datos personales, Claro Chile cuenta con
sistemas avanzados para el almacenamiento y tratamiento de datos, así como con diversos
procesos de controles y medidas de seguridad técnica, física y administrativa. El acceso a la
información personal está limitado solo aquellos empleados que tienen necesidad de conocerla
para desempeñar sus funciones de trabajo [CITATION Cla19 \l 13322 ].

 Integridad: Se preserva la entereza de los datos personales que se reciben contra

alteración, perdida, robo, hackeo, intervención o destrucción, ya sea de forma
accidental o fraudulenta. Los datos deben recopilarse y almacenarse de acuerdo con los
 5

procedimientos internos de cada operación, mantenerse íntegros, procurando su

actualización según corresponda, y eliminarse cuando dejen de ser necesarios para el
cumplimiento de sus fines.
 Disponibilidad: Claro Chile cuenta con procedimientos para asegurar que la
información de usuarios se encuentre disponible en todo momento para ellos. En este
sentido el cliente tiene acceso a los servicios prestados por la empresa durante las 24
horas del día, por diferentes medios, desde una plataforma web, sucursales físicas o
desde el mismo dispositivo móvil. Se establecen y mantienen medidas de seguridad
físicas, lógicas y organizativas para proteger los datos personales contra daño, pérdida,
alteración, destrucción o uso, acceso o tratamiento no autorizado.
 Confidencialidad: Los datos personales solo son utilizados por el personal autorizado
con justificación para hacerlo. Claro como responsable de datos personales de sus
clientes, y quienes tengan accesos a ellos resguardaran la confidencialidad sobre estos
mismos, en este sentido, claro establece controles y medidas para preservar el secreto
del titular, medida que subsiste aun después de concluida la relación con el titular.
CLARO establece las debidas políticas de seguridad y controles, tales como
Plataformas de protección como cortafuegos (firewall), Plataforma de anti-virus, anti-
spam y anti-malware, filtro de contenido, IPS, entre otros; todos destinados a velar por
la confidencialidad de los datos personales de todos los clientes y/o usuarios que se
registren como tales, ya sea en el sitio web www.clarochile.cl o mediante otras
secciones y canales establecidos y habilitados para dichos efectos [CITATION Cla20 \l
13322 ].

Para esto Claro Chile se apega a las leyes vigentes sobre privacidad de datos personales y
telecomunicaciones.

Claro Chile al optar por una estrategia de estandarización de sus centros de datos, desde 2014
decidió implementar un modelo operativo estandarizado (MOE) basado en un sistema de
gestión integral (SGI) fundamentado por un conjunto de normas internacionales ISO
[ CITATION Cla14 \l 13322 ].
 6

En específico para la seguridad de la información actúa la norma ISO 27000

ISO 27000 Es una normativa internacional que permite el aseguramiento, confidencialidad e

integridad de los datos y de la información así también como de los sistemas que los procesan.
En los sistemas de gestión de la seguridad de la información (SGSI), permite a las
organizaciones la evaluación de riesgo y aplicación de controles necesarios para mitigarlos o
eliminarlos [ CITATION ISO201 \l 13322 ] . La utilización de esta norma significa diferenciación
respecto al resto lo cual mejora en gran medida la competitividad y la imagen de la
organización. La norma ISO 27000 se basa en la teoría de gestión de calidad PDCA también
conocida como Ciclo de Deming, el cual se profundizó en el marco teórico.

Además, contiene un conjunto de reglas para sostener los 3 pilares de la seguridad informática
[ CITATION ISO20 \l 13322 ].

Para la Integridad se tiene:

 Cifrado de datos, que bloquea los datos por cifrado

 Copia de seguridad de datos, que almacena una copia de datos en una ubicación
alternativa
 Controles de acceso, incluida la asignación de privilegios de lectura / escritura.
 Validación de entrada, para evitar la entrada incorrecta de datos.
 Validación de datos, para certificar transmisiones no corrompidas

Para la confidencialidad

 Un proceso de autenticación, que garantiza que a los usuarios autorizados se les

asignen identificaciones de usuario y contraseñas confidenciales. Otro tipo de
autenticación es la biométrica.
 Se pueden emplear métodos de seguridad basados en roles para garantizar la
autorización del usuario o del espectador. Por ejemplo, los niveles de acceso a los
datos pueden asignarse al personal del departamento específico.
 Los controles de acceso aseguran que las acciones del usuario permanezcan dentro de
sus roles. Por ejemplo, si un usuario está autorizado para leer, pero no escribir datos,
los controles del sistema definidos pueden integrarse.
 7

Para la disponibilidad

 Copia de seguridad de datos.

 Emplear métodos de fácil disposición de los datos sin dejar que la seguridad de la
información se vea afectada.
 Establecer planes para garantizar la disponibilidad de la información ante accidentes
naturales

CONCLUSIONES

En términos generales es de suma relevancia para una organización brindar seguridad a sus
sistemas informáticos dado que sin duda esto reflejará en los usuarios un mayor sentido de
compromiso y confiabilidad por parte de la empresa. Factores claves como la disponibilidad,
integridad y confidencialidad darán una imagen clara de cómo se desempeña la organización
en el manejo de la información, ya sea si se cumplen a cabalidad cada uno de estos conceptos,
se creará una buena imagen de la organización, además, se dará por entendido que la
organización realiza una buena gestión en temas de seguridad, permanencia y accesibilidad
hacia la información, asegurando en todo momento el servicio y los datos de los usuarios. Por
otro lado, si se vulnera alguno de estos factores resultará muy perjudicial para la organización,
creando una mala imagen y produciéndose una baja en la credibilidad de esta misma.
Existen diversas amenazas que afectan a un sistema informático desde accidentes naturales,
problemas de hardware, problemas de software, ciberataques, incluso el factor humano ya sea
por errores o de manera intencionada. Por esta razón es importante estar alerta, trabajar de
manera proactiva y adelantándose a amenaza o riesgo y reduciendo al mínimo estos mismos.
Mejoras en la autenticación de usuarios, clasificación por roles, planes de acción ante
catástrofes naturales, copias de seguridad de los datos, son algunas medidas que pueden
salvaguardar la integridad, confidencialidad y disponibilidad de los datos en un sistema
informático.
 8

BIBLIOGRAFÍA

(2014). Obtenido de Claro Chile: https://www.clarochile.cl/empresas/servicios/data-

center/sistema-de-gestion-integral/
(02 de 04 de 2020). Obtenido de Claro Chile:
https://www.clarochile.cl/portal/cl/archivos_generales/Politica_privacida_y_Proteccion
_de%20datos_version_1.2_20190724.pdf
(19 de 10 de 2020). Obtenido de ISOTools: https://www.isotools.org/normas/riesgos-y-
seguridad/iso-27001/
Calderón, M. (07 de 09 de 2020). Fayerwayer. Obtenido de
https://www.fayerwayer.com/2020/09/banco-estado-hackeo-ransomware/
ClaroChile. (31 de 05 de 2019). Claro Chile. Obtenido de
https://www.clarochile.cl/portal/cl/archivos_generales/Codigo-de-Etica
%202018_20190531.pdf
ISO. (19 de 10 de 2020). Obtenido de https://www.iso27000.es/sgsi.html
ISO-27001. (19 de 10 de 2020). Obtenido de https://normaiso27001.es/referencias-normativas-
iso-27000/#def37
Marusic, M. (07 de 09 de 2020). La tercera. Obtenido de
https://www.latercera.com/pulso/noticia/ciberataque-a-bancoestado-empresa-sufre-
inedita-paralizacion-en-sucursales-y-presenta-
querella/Q2OPLE5NVNCXLJA6HQ5BO5XI5Q/
Veloso, L. (15 de 10 de 2020). Obtenido de Biobio Chile:
https://www.biobiochile.cl/noticias/nacional/chile/2020/10/15/gobierno-digital-y-
hackeo-a-clave-unica-hubo-dos-intromisiones-pero-contrasenas-estan-cifradas.shtml